プリインアプリを不正アプリで上書きできてしまう「マスターキー」脆弱性とは!?
セキュリティー企業Bluebox Securityによって公表された「マスターキー」と呼ばれるAndroidの脆弱性が話題を呼んでいる。
Androidでは、アプリのパッケージファイルにデジタル署名が含まれており、インストール済みのアプリには同じ鍵で署名されたパッケージからしか上書きインストール出来ないはずなのだが、この脆弱性を利用すると正規の鍵を持たない第三者が改竄したアプリも署名のチェックを回避して上書きインストールできてしまうというのだ。
Blueboxによって公開されたサンプルコードによると、アプリのパッケージファイル内に全く同じファイル名のファイルが複数格納されていた場合に、署名と照合されるファイルと実際にインストールされるファイルが異なってしまうのが原因らしい。
この脆弱性の恐ろしいところは、端末にプリインストールされたシステムアプリにも有害アプリを上書きできてしまうところだ。
プリインストールアプリに成りすませば、通常のアプリからは利用できない重要な機能も悪用し放題になってしまう。
この脆弱性は2月にGoogleに報告済みで、そのうち修正パッチが提供されるはずとのことだが、未修正の機種も多い模様。
とは言え、ユーザーがインストール操作を行なわなければ侵入できないのは通常の有害アプリと同じなので、端末の使用を控えるなど、過度に心配する必要はないだろう。
怪しいアプリはインストールしないように十分に注意しておこう。
・Uncovering Android Master Key That Makes 99% of Devices Vulnerable ? Bluebox Security
・Quick & dirty PoC for Android bug 8219321 discovered by BlueboxSec
Blueboxからは、端末にパッチが適用されているかをチェックできる「Bluebox Security Scanner」が公開されているので、気になる人は試してみよう。インストールして起動すると、修正済みなら「Patched」、未修正なら「Unpatched/vulnerable」と表示されるぞ。
・Bluebox Security Scanner – Android Apps on Google Play
この脆弱性の影響を受けるのは、主に「提供元不明の
プリ」を許可してAPKファイルからインストールを行なう場合だ。
初めてインストールするはずのアプリなのに、インストールの確認画面で既存のアプリへの上書きインストールの問い合わせが表示されたら特に要注意。既存のアプリを上書きして乗っ取ろうとする有害アプリの可能性があるぞ。
この脆弱性を利用したものでなくても、有害なアプリの可能性はあるので、不審なアプリはインストールしないように十分に注意しよう。
Playストアの場合、同じ識別名のアプリは登録できないので、正規のアプリが登録済みならば、改竄されたアプリが公開される恐れは無い。
しかし、プリインストールアプリには開発元がPlayストアに登録していない物もあるので注意が必要だ。この場合、他人が勝手に改竄済みアプリを同じ識別名でアップロードできてしまう可能性がある。
また、Playストアに登録せず野良アプリとして公開されているアプリも、他人が同じ識別名のアプリを公開できてしまう。(偶然識別名が重なる場合もある)
Playストアでは、自動更新や「すべて更新」は使わず、手動でバージョンアップを行なうようにするといいだろう。Playストアからインストールした覚えのないアプリの更新があった場合は、正規の開発元が公開したものかをよく確認しよう。
関連記事
au「HTC EVO 3D WiMAX ISW12HT」「HTC EVO WiMAX ISW11HT」の脆弱性を解消するアップデート
「ES ファイルエクスプローラ」で動画視聴中に外部からSDカードの内容を閲覧できてしまう脆弱性が修正
Android4.1以降に権限を持たないアプリでも電話を掛けられる脆弱性
バージョン5.0未満のAndroidにシステム権限で任意のコードを実行できる脆弱性
細工されたアプリでAndroidがクラッシュし起動不能に陥る恐れもある脆弱性が発見される
不正アプリがGoogleアカウントの機能利用許可を悪用してアプリを自動インストールする事例が発生
Android 4.3以前のWebViewの脆弱性はもう修正されない!?
旧機種のAndroid標準ブラウザに深刻な脆弱性!auの4機種以外は修正済み
au、新規アプリの追加インストールを禁止できる「安心アプリ制限」の提供を開始
2013年07月13日20時10分 公開 | カテゴリー: セキュリティ | キーワード:ニュース | Short URL
ツイート
最新記事
- 小さく運ぶ、大きく使う!移動中も効率的に休める枕!
- 柔軟なケーブル管理!すべてのケーブルが絡まないようにする結束バンド!
- 一瞬でくるっとまとまる充電ケーブル!急速充電も高速データ伝送も対応!
- 小型化とスタイルの融合!テンキーレスで一日ゲームをするのも快適!
- 太めのケーブルも使えるマグネット式ケーブルクリップ!6個セットで家中どこでも使える!
- クランプで手軽に設置できるケーブルトレー!使い方によって小物入れとして使うことも!
- 配線を整理してスッキリ!デスク裏に設置する布製ケーブルトレー!
- 液晶ディスプレイの上を小物置きに!設置も取り外しも簡単なディスプレイボード!
- 照明の常識が変わる究極のモニターライト!自動調光で常に最適な明るさ!
- 狭いデスクを広々使う!可動域の広いモニターアーム!
- 大きな文字で見やすいデジタル時計!壁掛け時計としても置き時計としても!
- 3in1のヘッドホンスタンド!USBハブや 3.5mmオーディオ機能も!
- ゲームやテレワークを快適に!目に優しい設計のモニターライト!
- 便利なUSB電源のPCスピーカー!Bluetooth接続にも対応!
- 高さと向きを自由に調整可能!様々なゲーム周辺機器を収納できるスタンド!
- 安定性抜群!スマホを安定して置いておける折りたたみ式のスマホスタンド!
- 片手で脱着できるスマホホルダー!ダッシュボードでもエアコン送風口でも!
- AUX経由で音楽再生!Bluetoothでワイヤレスに再生できる!
- 小さい空間のあらゆるところで空気を浄化!プラズマクラスター搭載のコンパクトな空気清浄機!
- 2台の機器を立てて収納できるクラムシェルスタンド!重量感があるので安心して置ける!
- 超スリムで持ち運びも簡単!ノートPCを最適な角度に出来るスタンド!
- ボタン1つで締めるも緩めるも手軽に!シンプル操作で高精度作業!
- 最大8台同時充電可能!スマホスタンド付きの電源タップ!
- 一台6役の猫足型電源タップ!コンセントもUSBポートもこれ一台!
- 5個のコンセントと4つのUSBポート!コンパクトなのにたくさん使える電源タップ!
- 一台6役で干渉しにくい延長コード!コンセントもUSBもこれ一台!
- 4つの機能を1台に!ワイヤレス充電機能等がついた高機能空気清浄機!
- 車内空間を短時間でリフレッシュ!高性能HEPAフィルター搭載!
- ウイルスも花粉もきれいに!車内の空気を清浄化!
- ドリンクホルダー付きスマホホルダー!マップアプリ利用に最適!